SchwachstellenHackerangriffeCyberkriminalität

Chinesische Hacker nutzen TrueConf-Lücke für Angriffe auf asiatische Behörden

Chinesische Hacker nutzen TrueConf-Lücke für Angriffe auf asiatische Behörden
Zusammenfassung

Chinesische Hacker haben eine kritische Sicherheitslücke in der Videokonferenz-Software TrueConf ausgenutzt, um gezielt Regierungseinrichtungen in Asien anzugreifen. Die Zero-Day-Schwachstelle (CVE-2026-3502) ermöglichte es den Angreifern, manipulierte Software-Updates auf zentrale unternehmensweite Server zu spielen und von dort aus automatisch an alle verbundenen Client-Geräte zu verteilen. Besonders kritisch ist dabei, dass TrueConf bei Behörden, Militär und Kritischer Infrastruktur weltweit verbreitet ist – often als isolierte On-Premises-Lösung ohne Internetverbindung eingesetzt wird. Die Attacke zeigt eine perfide Strategie: Durch die Kompromittierung eines zentralen Servers konnten die Angreifer dutzende Behörden gleichzeitig mit Malware infizieren, ohne jeden einzelnen Rechner angreifen zu müssen. Deutsche Behörden und Unternehmen, die TrueConf nutzen, sollten dies ernst nehmen und dringend auf die gepatchte Version 8.5.3 aktualisieren. Das Bundesamt für Sicherheit in der Informationstechnik und Unternehmens-IT-Abteilungen sollten umgehend prüfen, ob die Software im Einsatz ist und entsprechende Sicherheitsmaßnahmen einleiten.

Die Schwachstelle mit der Bezeichnung CVE-2026-3502 erhielt einen CVSS-Score von 7,8 und wird als kritisch eingestuft. Sie entstand durch eine fehlerhafte Sicherheitsüberprüfung bei Software-Updates. Die TrueConf-Clients führen Aktualisierungen ohne ausreichende Integritäts- und Authentizitätsprüfungen durch – ein fataler Fehler mit weitreichenden Konsequenzen.

Wie Check Point in seiner Analyse der sogenannten “TrueChaos”-Kampagne berichtet, infiltrierten die Angreifer zunächst den zentralen On-Premises-Server einer Regierungsbehörde. Sie ersetzten das legitime Update-Paket durch eine manipulierte Version und verbreiteten diese an Dutzende von Behördeneinrichtungen, die denselben Server für Video-Konferenzen nutzten. Ein brillanter Angriff, der nicht einzelne Endgeräte ins Visier nahm, sondern eine zentrale Vertrauensbeziehung missbrauchte.

Die manipulierte Update-Datei enthielt neben legitimen TrueConf-Komponenten eine bösartige Bibliothek sowie ein Executable für DLL-Sideloading. Dieses Malware-Paket ermöglichte es den Angreifern, das Netzwerk auszuspionieren, Berechtigungen zu eskalieren, Persistenz zu etablieren und zusätzliche Payloads nachzuladen. Check Point entdeckte Netzwerk-Kommunikation zu Command-and-Control-Servern, die mit Havoc – einem Open-Source-Post-Exploitation-Framework – assoziiert wurden. Die Hinweise deuten stark auf einen chinesischen Bedrohungsakteur hin.

TrueConf reagierte mit einem Sicherheits-Update (Version 8.5.3), das im März veröffentlicht wurde. Doch die Bedrohung bleibt akut: Die US-Behörde CISA listete CVE-2026-3502 in ihren “Known Exploited Vulnerabilities”-Katalog auf und forderte föderale Agenturen auf, ihre Systeme bis zum 16. April zu patchen.

Für deutsche Organisationen ist diese Warnung essentiell. Unternehmen und Behörden, die TrueConf einsetzen, sollten sofort ihre Systeme überprüfen und die neueste Software-Version installieren. Die Attacke zeigt: Selbst vermeintlich sichere, isolierte Kommunikationssysteme können zur Zielscheibe werden, wenn die Software-Verwaltung nachlässig erfolgt.

Ähnliche Artikel